|
|
Знаете ли Вы, что ... | |
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать. | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Microsoft Обсуждение продуктов. Техническая поддержка. Вопросы лицензирования. |
Ответить |
|
Опции темы | Опции просмотра |
28.03.2007 23:53 | #11 | ||
|
Директор по стратегии подразделения Microsoft по технологиям безопасности Джефф Джонс сообщил, что за первые 90 дней после выхода Vista в новой операционной систем обнаружено гораздо меньше уязвимостей, чем было найдено в Windows XP, в Mac OS X 10.4 (Tiger), в Red Hat Enterprise Linux 4 Workstation, в Ubuntu 6.06 LTS и в Novell SuSE Linux Enterprise Desktop 10 за первые три месяца после появления каждой из этих ОС. По словам Джонса, за упомянутый промежуток времени в Vista была устранена всего одна дыра - в механизме сканирования на вредоносный код, встроенном в межсетевой экран Windows Defender. Для сравнения, в XP за аналогичный период было исправлено 14 ошибок безопасности, в Mac OS X - 20, в Red Hat - 137, в Ubuntu - 17, в SUSE - 80. Джонс указал также, что даже с учетом уязвимостей, обнаруженных в первые три месяца, но не исправленных, Vista опережает конкурентов - в ней нашлось в общей сложности всего пять дыр, тогда как в XP - 18, в Mac OS X - 27, в Red Hat - 201, в Ubuntu - 100, а в SUSE - 111.
http://www.osp.ru/news/2007/0328/4096515/ |
||
|
Ответить |
27.04.2007 22:34 | #12 | ||
Sharifa.Com
Директор по развитию
Сообщений: 2,928
+ 2,274
890/560
– 8
0/0
|
Цитата:
Код МС готова открыть - не всем, специалистам по безопасности, гос. органам, сомневающимся товарищам итд читайте здесь: http://www.microsoft.com/rus/news/is...ource_open.xml Кстати насчет анализа и поиска уязвимостей - даже в случае доступа к коду, более быстрое нахождения уязвимостей - вопрос еще тот. Это надо быть оч. оч. крутым спецом чтобы понять чужую мысль, да еще и закодированную (без намеков). чаще все поступают проще - ждут от авторов исправлений а насчет признания продуктов МС наиболее безопасными - тут есть факты, например в россии: http://www.microsoft.com/Rus/Securit...e/Default.mspx ну а по миру можно в гугле спросить??? Цитата:
к тому же МС раз в месяц (если память не подводит) выпускает исправления и не только для ОС но и для приложений!. Более того у нас разработаны рекомендации по построению защищенной ИТ инфраструктуры - соблюдение которых позволяет пользователям быть уверенными на 99% в том, что их система надежна, и/или степень поражения эксплойтами будет сведена к минимуму. Читайте здесь: http://www.microsoft.com/rus/technet...y/default.mspx 8) |
||
|
Ответить |
28.04.2007 11:04 | #13 |
Госкомитет связи, информатизации и телекоммуникационных технологий
Сообщений: 652
+ 222
283/101
– 0
3/3
|
Ахадбек Далимов, спасибо за понимание Сначала хотелось бы заявить об абсурдности поиска "самой защищенной" ОСи именно в том смысле, в котором новость была преподнесена. Убежден, что самая защищенная ОСь та, которую вы лучше всего знаете. Из любой ОСи-"конфетки" можно сделать дуршлаг, и наоборот.
Теперь по поводу ваших заявлений. Я в курсе, что МС предоставляет исходники для правительств разных стран и т. д. Но, насколько я понимаю, это направлено в первую очередь на то, чтобы доказать отсутствие "закладок" в ПО и для сертификации системы по внутренним стандартам страны. Очень сомневаюсь, что специалисты из правительства, спецслужб или сертифицирующих органов будут целенаправленно искать в системе "дыры". Ну какой им смысл? Совсем другое дело - огромное количество хакеров по всему миру, которые занимаются поиском уязвимостей и написанием эксплойтов к ним. Они получают от этого как минимум удовольствие, а обычно и материально обогащаются. Так что сравнивать в этом плане Виндовс и Линукс ну никак нельзя. Теперь по поводу скорости латания "дыр". Снова прошу не рассматривать этот критерий в отрыве от критичности уязвимостей. Да, раз в месяц МС выпускает апдейты, но сколько раз уже было такое, когда были найдены критические уязвимости в важных элементах системы, а МС заявляло о том, что исключения не сделает и закроет "дыру" только вместе с очередным патчем в следующем месяце. Затем сторонние разработчики выпускали свои неофициальные патчи. Если не ошибаюсь, так было например, в сентябре-октябре прошлого года с критической уязвимостью в ослике (линков привести не могу, т. к. пишу с мобильного). Убежден: с точки зрения безопасности не так важно количество "дыр" вообще, сколько то время, которое вендор оставляет без внимания уязвимости среднего и высокого уровня риска. |
|
Ответить |
28.04.2007 17:30 | #14 | ||||||
Sharifa.Com
Директор по развитию
Сообщений: 2,928
+ 2,274
890/560
– 8
0/0
|
Цитата:
Цитата:
Цитата:
Цитата:
Кстати этот пример показывает - что скорость выхода патчей от МС в среднем увеличилась в 3 раза! и составляет максимум 1 месяц. кстати о подходе, по разработке безопсного кода,который МС использует у себя и рекомендует другим производителям ПО можно почитать здесь: http://www.pc.uz/files/ms/20070417/security.ppt а послушать можно было на семинаре 17 апреля 2007 года, для разработчкиков, куда к сожалению разработчики из УЗИНФОКОМ не пришли |
||||||
|
Ответить |
Реклама и уведомления | |
28.04.2007 19:33 | #15 | ||||
Госкомитет связи, информатизации и телекоммуникационных технологий
Сообщений: 652
+ 222
283/101
– 0
3/3
|
Тоже вариант
Цитата:
Прошелся по вашим ссылкам. Как и предполагал, речь идет о повышении "доверия" к продуктам (да, те самые "закладки", вернее их отсутствие) и сертификации (плюс адаптация Виндоус и использование в ней сертифицированных в России средств шифрования). Не более. Цитата:
Модель ОСС-разработки здесь, конечно, имеет примущество. Для МС невыгодно, чтобы пользователь ставил неофициальный патч - он может нарушить работу других компонентов системы, в какой-то степени бьет по репутации и т. д., в то время как в ОСС, любой человек, который в состоянии это сделать, может написать и выслать патч команде разработчиков. Да и пользователь может временно использовать "самописные" сторонние патчи, а затем, при выходе официального - откатиться назад и установить "вендорский". Цитата:
Пользователь софта, конечно, в первую очередь пытается закрыть уязвимости с уровнем риска выше среднего, отсюда и пассивность. Кроме того, через определенное время, ажиотаж вокруг "дыры" спадает и юзеры просто про неё забывают. Цитата:
|
||||
|
Ответить |
30.04.2007 14:51 | #17 | |
Госкомитет связи, информатизации и телекоммуникационных технологий
Сообщений: 652
+ 222
283/101
– 0
3/3
|
А что - OpenBSD? Система как система, просто "вылизали" основной код и перепроверяют его, а из программ по умолчанию ставится самый-самый минимум. Установочная исошка OpenBSD 4.0 весила всего 200-300 Мб.
Цитата:
Кстати, релиз OpenBSD 4.1 выйдет по плану - завтра (1 мая). Последний раз редактировалось Daniyar Atadjanov; 30.04.2007 в 14:52. Причина: ошибки |
|
|
Ответить |
30.04.2007 20:48 | #18 | ||||||
Sharifa.Com
Директор по развитию
Сообщений: 2,928
+ 2,274
890/560
– 8
0/0
|
Цитата:
Цитата:
Без обид - но звание обязывает - раз уж вы эксперт по безопасности то при высказывании мнения должны стараться быть максимально беспристрастным, вне зависимости от того какую платформу, вы лично предпочитаете. (ИМХО). А там более чем хватает информации! надеюсь посетители ветки были более внимательны и сходили по ссылкам. И вы к сожалению проигнорировали совет поискать на Гугле. Так вот платформа Windows сертифицирована на 4 уровне Common Criteria. ссылки здесь (только просьба внимательно прочитать и документик по второй ссылке скачать для служебного пользования). http://www.microsoft.com/presspass/p...riteriaPR.mspx http://www.microsoft.com/technet/sec...ccc/cccwp.mspx Цитата:
1) совсем не обязательно дожидаться официального релиза, и установка "нефирменного патча" никоим образом не может ударить по престижу МС, она только может спасти ситуацию (у заказчика). В то же время, согласен, что если сторонняя заплатка сделана не професионально, то это может привести к еще более плачевным последствиям. Но к этому же результату можно придти и в случае с ОСС, и даже в случае с фирменной заплаткой. Поэтому основная рекомендация - прежде чем патчить "производственную систему", откатать заплатки на тестовой платформе. Понимаете ли окружение у всех разное (гетерогенное, и вариаций может быть ...). Цитата:
Как вы уже заявляли "доклад Симантека - очень интересный документ". Я его тоже прочитал (причем по выходе, подписан на новости, да и уважаю команду эту). Да таких заявлений как Виста самая безопасная - не сделано, да и не сделают. Однако в том же докладе говорится, что благодаря Secure Development Lifecycle (SDL), МС удалось таки добиться того, что ОС (Виста) и приложения от нее стали на ступень выше по критериями безопасности. Там же ниже говорится, что теперь угроза исходит от продуктов третьих поставщиков, которые еще не применили SDL, или не разработали аналогичных стратегий. Более того - как специалисты они не рекомендуют полагаться исключительно на совершенство продуктов МС (имея ввиду Висту), а призывают пользователей продолжать работу над совершенствованием системы ИТ безопасности (в чем я лично с ними абсолютно согласен). А я эту ссылку не только для Ваших девелоперов заготовил. Думаю и вам будет интересно, как экперту, ознакомиться с данной стратегией. |
||||||
|
Ответить |
01.05.2007 01:40 | #19 | ||||
Госкомитет связи, информатизации и телекоммуникационных технологий
Сообщений: 652
+ 222
283/101
– 0
3/3
|
Цитата:
По поводу открытости: код предоставляемый правительству и сертифицирующим органам все равно закрыт. Не в плане опенсорсности/проприетарности, не это мы сейчас обсуждаем. А закрыт от тех, кто собственно занимается именно поиском "дыр". Цитата:
Скажите, сертифицирующий орган ищет уязвимости в коде (напомню, изначальный смысл этой темы: количество найденных и закрытых "дыр", а также среднее время, потраченное на выпуск апдейта)? Тот 4-й уровень "Общих критериев", о котором вы говорите, подразумевает во-первых, наличие продуманного механизма поиска уязвимостей, латания "дыр" и оповещения пользователей. Но от этого количество найденных уязвимостей в самом коде не меняется! Во-вторых, проверяются используемые алгоритмы шифрования, проверки по другим профилям защиты (ПЗ). Кстати, и в реализации этих самых алгоритмов могут быть критические ошибки. Не ищут подобные сертифицирующие органы самих "дырок" в коде. Иначе наличие сертификата означало бы отсутствие уязвимостей или их ничтожно малое количество (абсурд). Знаю, что у МС внутри есть отдел, занимающийся перепроверкой кода на дырки. Возможно, МС привлекает для этого и аутсорсеров, но это другое. Цитата:
Цитата:
|
||||
|
Ответить |
01.05.2007 10:26 | #20 | ||||||||
Sharifa.Com
Директор по развитию
Сообщений: 2,928
+ 2,274
890/560
– 8
0/0
|
Цитата:
Цитата:
Но проверенным товарищам. Там тоже "Хакеры" работают. И готовый текст. Кстати зря вы недооцениваете сертификацию - на самом деле это эффективный способ, показывающий что продукт(продукты) отвечают определенным требованиям. Цитата:
Цитата:
Не надо рассуждать, даже не прочитав документов. Наличие сертификатов как раз и обозначает "отсутствие уязвимостий и их малое количество". При определенных условиях и в конкретном продукте, и все эти условия тоже описаны. Цитата:
Цитата:
Заранее спасибо. |
||||||||
|
Ответить |
|